Zero-click атака через Gmail и скрытый URL

агентский браузер ИИ ассистент Google Drive вайпер zero click атака HashJack prompt injection безопасность данных
Zero-click атака через Gmail и скрытый URL
агентский браузер ИИ ассистент Google Drive вайпер zero click атака HashJack prompt injection безопасность данных

Чем вежливее письмо хакера, тем охотнее ИИ-ассистент удаляет ваши файлы.

image

Исследователи Striker STAR Labs описали новую атаку на агентские браузеры, которая позволяет превратить обычное письмо во входящих в почти полный wiper Google Drive. Под удар попадает Comet — браузер с ИИ от Perplexity, который умеет сам работать с почтой и облаком пользователя.

Техника получила название Google Drive Wiper и относится к классу zero-click атак — пользователю не нужно кликать по вредоносной ссылке или запускать вложение. Всё держится на связке браузера с сервисами Gmail и Google Drive через OAuth. Пользователь один раз разрешает агенту читать письма, просматривать файлы и выполнять с ними действия вроде перемещения, переименования или удаления, после чего тот может делать это автоматически в ответ на текстовые запросы.

Обычный безобидный запрос может выглядеть так: «Проверь мою почту и выполни все последние задачи по наведению порядка». Агент просматривает письма, находит подходящие сообщения и выполняет инструкции. Проблема в том, что злоумышленник может заранее отправить жертве специально подготовленное письмо, где в свободной форме описывает «уборку» в Google Drive: разобрать файлы, удалить элементы с определёнными расширениями или всё, что лежит вне папок, а затем «проверить результаты».

Агент воспринимает такое письмо как рутину и послушно следует инструкциям. В результате реальные пользовательские файлы в Google Drive отправляются в корзину без каких-либо дополнительных подтверждений со стороны человека. «Результат — агентский браузер, который в автоматическом режиме превращается в wiper и массово переносит критически важные данные в корзину по одному единственному запросу на естественном языке», — отмечает исследователь безопасности Аманда Руссо. По её словам, после того как агент получил OAuth-доступ к Gmail и Google Drive, вредоносные инструкции могут быстро распространяться по общим папкам и командным дискам.

Особенно показательно, что такая атака не использует ни jailbreak, ни классическую prompt injection. Злоумышленнику достаточно быть вежливым, давать последовательные инструкции и формулировать запросы в духе «разберись с этим», «позаботься об этом», «сделай за меня», фактически передавая контроль агенту. Исследователи подчёркивают, что тон и структура текста могут незаметно подталкивать языковую модель к выполнению опасных действий, даже если она формально следует политикам безопасности.

Чтобы снизить риск, недостаточно защищать только саму модель. Нужно учитывать всю цепочку — агента, его коннекторы к внешним сервисам и те естественно-языковые инструкции, которые он имеет право выполнять автоматически. Иначе каждое вежливое, хорошо структурированное письмо от неизвестного отправителя превращается в потенциальный триггер zero-click атаки на данные.

Параллельно Cato Networks показала ещё одну технику для атак на браузеры с ИИ, получившую название HashJack. В этом сценарии вредоносный промт прячется во фрагменте URL после символа «#», например: www.example[.]com/home#<prompt>. Такой адрес можно отправить по почте, в мессенджере, через соцсети или встроить в страницу. Как только жертва открывает сайт и задаёт ИИ-браузеру какой-нибудь «умный» вопрос по содержимому страницы, агент считывает скрытый фрагмент и выполняет заложенные там инструкции.

«HashJack — это первая известная атака с косвенной prompt injection, которая позволяет использовать любой легитимный сайт для скрытого управления ИИ-помощником в браузере», — поясняет исследователь Виталий Симонович. Пользователь видит нормальный адрес и доверяет ему, а вредоносные инструкции спрятаны в части URL, на которую обычно никто не обращает внимания.

После ответственного раскрытия Google присвоила проблеме низкий приоритет и статус «won't fix (intended behavior)» — поведение считается ожидаемым. В то же время Perplexity и Microsoft выпустили исправления для своих ИИ-браузеров, указав конкретные версии Comet v142.0.7444.60 и Edge 142.0.3595.94. Браузер Claude для Chrome и OpenAI Atlas, по данным исследователей, к HashJack не уязвимы.

Авторы работы отдельно напоминают, что в рамках программы Google AI Vulnerability Reward Program нарушения политик генерации контента и обход защитных «ограждений» не считаются полноценными уязвимостями безопасности. На практике это означает, что целый класс атак на ИИ-агентов остаётся на стыке между безопасностью и «ожидаемым поведением» систем, которые всё чаще получают доступ к реальным данным и сервисам пользователей.